Atak cybernetyczny na strony WordPress

Według raportu opublikowanego przez Bleeping Computer, doszło do ataku cybernetycznego na strony WordPress. Sprawca zmodyfikował kod źródłowy co najmniej pięciu wtyczek hostowanych na WordPress.org, dodając złośliwe skrypty PHP, które tworzą nowe konta z uprawnieniami administratora na witrynach, na których są używane.
Atak ten został wykryty przez zespół Wordfence Threat Intelligence, ale miał miejsce 21 i 22 czerwca. Natychmiast po odkryciu podatności firma Wordfence powiadomiła deweloperów wtyczek, co doprowadziło do wydania łatek dla większości z nich 24 czerwca.
W sumie te pięć wtyczek zostało zainstalowanych na ponad 35 000 stronach internetowych:

– Social Warfare 4.4.6.4 do 4.4.7.1 (naprawione w wersji 4.4.7.3)
– Blaze Widget 2.2.5 do 2.5.2 (naprawione w wersji 2.5.4)
– Wrapper Link Element 1.0.2 do 1.0.3 (naprawione w wersji 1.0.5)
– Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 (naprawione w wersji 1.0.7)
– Simply Show Hooks 1.2.1 – 1.2.2 (łatka nie jest jeszcze gotowa)

Wordfence zaznacza, że nie jest znane, w jaki sposób sprawca uzyskał dostęp do kodu źródłowego wtyczek, ale trwają dochodzenia w tej sprawie. Chociaż możliwe jest, że atak dotyczy więcej wtyczek WordPress, obecne dowody wskazują, że kompromitacja dotyczy tylko wymienionego zestawu pięciu wtyczek.
Złośliwy kod w zainfekowanych wtyczkach próbuje tworzyć nowe konta administratora i wstrzykiwać spam SEO na zainfekowane strony internetowe. „Dodatkowo, wygląda na to, że aktor zagrożenia wstrzyknął też złośliwy JavaScript do stopki witryn, który wydaje się dodawać spam SEO na całej stronie” – informują badacze.
Dane są przesyłane na adres IP 94.156.79[.]8, a arbitralnie utworzone konta administratora noszą nazwy „Options” i „PluginAuth”. Właściciele stron internetowych, którzy zauważyli takie konta lub ruch na adres IP sprawcy, powinni sprawdzić swoje zasoby.